Sécurité des applications mobiles : un enjeu difficile de l'ère BYOD mais pas une cause perdue
Alors que de nouveaux appareils et de nouvelles méthodes d'accès aux systèmes et aux données de l'entreprise font leur apparition, les services informatiques doivent trouver de nouveaux moyens pour sécuriser la mise à disposition des applications mobiles.
Alors que de nouveaux appareils et de nouvelles méthodes d'accès aux systèmes et aux données de l'entreprise font leur apparition, les services informatiques doivent trouver de nouveaux moyens d'aborder la sécurité de la mise à disposition des applications mobiles.
En matière de sécurité, au cours des dix dernières années, les services informatiques ont rempli leur mission. Cependant, les méthodes utilisées pour protéger les réseaux et les données sont en train de changer... Pour nombre d'utilisateurs professionnels, l'appareil mobile n'est rien moins qu'un second ordinateur. Les employés ne se cantonnent pas à la seule messagerie ; ils réclament un accès aux données et aux processus métier stratégiques. Or, les politiques en vigueur pour administrer les PC portables traditionnels ne sont pas adaptées aux appareils mobiles : ici, aucun pare-feu interne ne vous protège contre les attaques croissantes qui se produisent sur la couche applications.
Comprendre la distribution des applications mobiles
À moins que votre entreprise ne se soit restreinte à une unique plate-forme, elle exploite probablement un mélange d'appareils Apple iOS, Google Android, BlackBerry et Microsoft Windows Phone. Et chacune de ses plates-formes propose différents modes de distribution sécurisée des applications mobiles - les fameuses « apps » - qu'elles soient commerciales ou personnalisées. Les modes de distribution sécurisée de BlackBerry et des systèmes d'exploitation mobiles antérieurs, tels que Windows Mobile 6 et Nokia Symbian, sont plutôt classiques. Ainsi, Windows Mobile utilisait des fichiers d'installation classiques et BlackBerry administre les applications via BlackBerry Enterprise Server.
En revanche, la nouvelle génération d'appareils et de systèmes d'exploitation adopte le modèle de la boutique (AppStore). Celle-ci offre à l'utilisateur un guichet unique qui simplifie l'achat des applications mobiles. Et c'est tout le modèle d'administration classique qui s’écroule, car vous n'êtes plus seul à contrôler les applications installées sur les appareils de vos utilisateurs. En matière de sécurité, la distribution d'applications personnalisées sur des appareils personnels s’adosse à votre infrastructure de clé publique (PKI), sur votre système d'authentification et sur l’application de paramètres imposés par des politiques de configuration.
Sous iOS, la mise à disposition d'applications requiert l'enregistrement des appareils et la distribution de profils de configuration que les administrateurs utiliseront pour faire appliquer des politiques de sécurité (via Microsoft Exchange ActiveSync). Pour distribuer des applications, vous devez obtenir de la marque à la pomme un certificat Apple Push Notification. Anticipez cette étape, car la procédure prend souvent plusieurs semaines.
En savoir plus sur la mise à disposition d'applications sécurisée
Sur les appareils Android, la distribution sécurisée des applications passe par la mise en place de votre propre boutique et par le verrouillage des appareils afin qu'aucun téléchargement ne soit possible en dehors de celle-ci ; une solution que proposent souvent les logiciels de MDM tiers. Pour nombre de services informatiques, Google Play peut constituer une solution plus simple, car il s'agit de la boutique d'applications par défaut de tous les appareils Android. Google Apps for Business vous permet, pour sa part, de mettre en oeuvre un canal Google Play privé. Ce canal permet aux applications intégrées à Apps for Business d'utiliser un système d'authentification commun. Devenues ainsi privées, les applications sont à la disposition des seuls utilisateurs autorisés.
Quant à Windows, le système de Microsoft dispose d'un programme de distribution des applications qui vous permet de publier des applications privées sur le Windows Store, puis de les installer sans utiliser ce dernier. Cette méthode de téléchargement transversal, dite « sideloading », implique la modification rapide d'une clé de registre, et la mise en place par le développeur d’un certificat et d’une clé pour garantir que l'application est sécurisée. Une fois l'application intégrée (sous forme de package) au moyen d'une simple commande PowerScript - add-appxpackage - vous pouvez la distribuer par courriel ou par clé USB par exemple. Les applications Windows Phone 8 proposent une configuration similaire par le biais d'une carte numérique sécurisée. Ces options constituent la méthode de distribution privilégiée des services informatiques qui ne souhaitent pas prendre intégralement en charge Windows Phone 8 ou Windows RT avec un MDM ou le Windows Store, mais qui souhaitent cependant installer des applications sur certains appareils Windows Phone.
Les applications en cloud se distinguent
L'exploitation d'applications disponibles via le cloud soulève de nouvelles questions. Avec la prolifération d'applications de productivité et de stockage en environnement cloud faciles d'emploi, vos données peuvent se trouver n'importe où. La gestion des identités devient donc essentielle à un contrôle pérenne. Mieux vaut un contrôle centralisé exhaustif, de Gmail à Dropbox, plutôt que d'autoriser différents comptes inconnus à stocker des informations sensibles. Contrôler les accès, supprimer les comptes et les regrouper en unités métier est aussi facile que d'administrer vos ressources internes.
Les applications mobiles qui exploitent des ressources en cloud doivent s'intégrer à vos systèmes d'authentification internes. Pour permettre cette centralisation, différents systèmes autorisent l’intégration à LDAP (Lightweight Directory Access Protocol) ou ADFS (Active Directory Federated Services). Par ailleurs, certaines options permettent de regrouper l’ensemble de cette authentification intégrée en un seul et unique point via un outil de cloud tiers. Votre système d'authentification interne n'est alors plus accessible que par un seul et unique canal, ce qui améliore la sécurité.
Ce qu’il faut retenir…
Les appareils mobiles ne se contrôlent pas comme des PC de bureau ou des PC portables. Lorsqu'il s'agit d'administrer des smartphones et des tablettes, un pare-feu devient quasiment inefficace. Vous devez donc intégrer votre sécurité à toutes les applications personnalisées sans exception, mettre en œuvre une administration centrale des services en cloud, contrôler le mode de mise à disposition de vos applications et vous assurer que les appareils sont conformes à vos politiques de sécurité avant qu'ils n'accèdent aux données. Considérez chacune des plates-formes mobiles que vous prenez en charge et abordez les applications en cloud comme autant de plates-formes distinctes. Toutes ces ressources font certes appel à des certificats et à des réseaux cryptés, mais l'essentiel n’en reste pas moins de s'assurer que les utilisateurs exploitent les applications et les données de manière sécurisée.
Traduit et adapté par la rédaction